‘FrostyGoop’ adı verilen Rusya bağlantılı bir kötü amaçlı yazılım, küresel çapta birçok sektörde kritik altyapılara yönelik oluşturduğu ciddi riskler nedeniyle siber güvenlik dünyasında alarma neden oluyor.
Araştırmacılar tarafından 2024 yılının nisan ayında keşfedilen FrostyGoop adlı siber saldırı, Ukrayna’daki bir bölge enerji şirketine düzenlenen yıkıcı saldırıda kullanılmış ve yüzlerce apartman binasının ısıtma hizmetlerine giden elektrik kesintisine yol açmıştı.
FrostyGoop, doğrudan operasyonel teknolojiyi etkilemek için Modbus TCP iletişimlerini kullanma yeteneğine sahip ilk ICS’ye özgü kötü amaçlı yazılımdır ve operatörlerinin hem eski hem de modern sistemleri potansiyel olarak bozmasına olanak tanır. Araştırmacılar, kötü amaçlı yazılıma karşı koymak için gelişmiş ICS ağ görünürlüğü ve izlemesi talep ediyor.
FrostyGoop’un Yetenekleri
Dragos’taki araştırmacılar, FrostyGoop zararlı yazılımının Golang’da yazıldığını ve Windows sistemleri için derlendiğini, Modbus TCP protokolünü kullanarak kritik girdi, çıktı ve yapılandırma verilerini içeren çeşitli kayıtları tutan ICS aygıtlarını okuyabildiğini ve yazabildiğini belirtti.
FrostyGoop’un gerçek dünyadaki bir olayı Ukrayna’da gözlemlendi; burada bir siber saldırı, sıfırın altındaki sıcaklıklarda Lviv’deki 600’den fazla apartman binasının ısıtma hizmetlerini aksattı. Ukrayna Siber Güvenlik Durum Merkezi, araştırmacılarla verileri paylaşarak saldırganların ENCO kontrolörlerine Modbus komutları gönderdiğini ve bunun da giderilmesi neredeyse iki gün süren sistem arızalarına neden olduğunu bildirdi.
Kötü amaçlı yazılım verileri okur ve yazarken, bu çıktıyı bir konsola kaydeder veya bir JSON dosyasında depolar. FrostyGoop ayrıca hedef cihazda Modbus komutlarını yürütmek için kullanılan bilgileri içeren JSON biçimli bir yapılandırma dosyasını da kabul eder.
Araştırmacılar, yapılandırma dosyasının bir örneğini keşfettiler görev_testi.jsonFrostyGoop’un hedef IP adreslerini ve Modbus komutlarını belirtmek için ayrı komut satırı argümanlarını ve farklı yapılandırma dosyalarını kabul etmesiyle.
Tanımlanan örnek yapılandırma dosyasındaki IP adresi bir ENCO kontrol cihazına aitti. ENCO kontrol cihazları genellikle sıcaklık, basınç ve yalıtım gibi sensör parametrelerini izlemek için “bölgesel ısıtma, sıcak su ve havalandırma sistemlerinde proses kontrolü için” kullanılır.
FrostyGoop kötü amaçlı yazılım yapılandırma dosyalarındaki diğer alanlar aşağıda açıklanmıştır:
Modbus protokolüne hazır cihazlar, dünya çapında tüm endüstriyel sektörlerde ve kuruluşlarda yaygın olarak kullanılıyor ve bu kötü amaçlı yazılımı kritik altyapılar için önemli bir tehdit haline getiriyor.
FrostyGoop Etkileri ve Önerileri
Modbus protokolünün endüstriyel ortamlarda yaygın kullanımı göz önüne alındığında, FrostyGoop kötü amaçlı yazılımının ortaya çıkması tüm endüstriyel sektörlerde endişelere yol açmaktadır. Kötü amaçlı yazılımın antivirüs satıcıları tarafından tespit edilmekten kaçınma yeteneği, yayılmasına karşı koruma sağlamak için özel OT güvenlik önlemlerine ihtiyaç duyulmasını gerektirir.
Araştırmacılar, Dünya Standartlarında OT Siber Güvenliği için SANS 5 Kritik Kontrolleri temelinde aşağıdaki önlemlerin uygulanmasını öneriyor:
- ICS OLAY MÜDAHALE: Araştırmacılar, etkilenen cihazları hızla izole etmek, yetkisiz Modbus komutları için ağ trafiğini analiz etmek ve normal sistem operasyonlarını geri yüklemek için özel prosedürler gibi OT ortamlarına yönelik özel müdahaleleri içeren olay müdahale planlarına ihtiyaç duyulduğunu vurguladı.
- SAVUNULABİLİR MİMARİ: Yeterli ağ segmentasyonunun olmaması ve internete maruz kalan denetleyicilerin varlığı, sistemleri FrostyGoop gibi tehditlere karşı savunmasız bırakabilir. Savunulabilir mimariyi desteklemek için endüstriyel ortamlar endüstriyel silahsızlandırılmış bölgeler (DMZ’ler) uygulayabilir ve kurumsal BT ağı ile OT ortamları arasında sıkı erişim kontrolleri uygulayabilir.
- ICS AĞ GÖRÜNÜRLÜĞÜ VE İZLEME: Modbus protokolü üzerinden yapılan iletişimler gibi ağ trafiğinin sürekli izlenmesi, yetkisiz erişim veya 502 numaralı port üzerinden gerçekleşen olağan dışı trafik gibi anormallikleri ve şüpheli davranışları tespit etmek ve bunlara yanıt vermek için önemli bir ölçüttür.
- GÜVENLİ UZAKTAN ERİŞİM: FrostyGoop’un önceki dağıtımları, uzaktan erişim noktalarındaki güvenlik açıklarından yararlandı. Uzaktan erişim noktaları, çok faktörlü kimlik doğrulama (MFA), uzak bağlantıların günlüğe kaydedilmesi/izlenmesi ve verileri aktarım sırasında şifrelemek için sanal özel ağların (VPN’ler) uygulanması ve uzaktan erişimin erişim haklarını ve ayrıcalıklarını ihtiyaç temelinde gözden geçirmek için düzenli denetimler yoluyla güvence altına alınabilir.
- RİSK TABANLI ZAFİYET YÖNETİMİ: ICS bileşenleriyle ilişkili risklere göre düzenli değerlendirmeler yoluyla uyarlanmış aktif güvenlik açığı yönetimi, aktif istismara dair kanıtlarla güvenlik açıklarının azaltılmasına yardımcı olabilir.
FrostyGoop kötü amaçlı yazılımının oluşturduğu tehdidin geniş uygulanabilirliği, dünya çapında kritik altyapı ve endüstriyel ortamların güvenliğini sağlamak için daha güçlü uygulamalar gerektiriyor.